DQZHAN技術訊:發(fā)電廠工控信息**故障案例及分析處理
DCS和PLC系統(tǒng)部分工控機出現重啟或藍屏現象事件分析及處理
2017年8月15日����,某廠發(fā)生了生產大區(qū)�����、管理大區(qū)等信息**事件,相繼DCS和PLC系統(tǒng)部分工控機出現重啟或藍屏現象�。經對全廠控制系統(tǒng)的服務器�、工程師站、歷史站�����、接口機���、操作員站進行掃描��,發(fā)現病毒文件tasksche.exe、mssecsvc.exe����、qeriuwjhrf存在于電腦C:\Windows目錄下��,且病毒程序執(zhí)行時間和8月15日晚電腦藍屏死機時間吻合���。分析認為本次事件由于病毒感染引起:
(1)病毒行為分析
目前該病毒分別在電廠**I 區(qū)、**II 區(qū)���、管理大區(qū)發(fā)現均有主機感染“變種勒索病毒”����,文件信息如下:
病毒文件:mssecsvc.exe 大小: 3723264 字節(jié)
MD5:0C694193CEAC8BFB016491FFB534EB7C
該病毒變種樣本據確認*早在互聯(lián)網發(fā)現于2017年6月2日�,感染后會釋放文件:c:\windows\mssecsvc.exe、c:\windows\qeriuwjhrf����、c:\windows\tasksche.exe�,開啟服務并運行���,但由于變種版本只會通過TCP:445端口感染其它主機����,出現間斷性攻擊主機藍屏死機重啟,影響生產控制系統(tǒng)運行�����,釋放的加密程序文件tasksche.exe�����,經分析為文件包壓縮異常�,無法運行加密程序���,變成真正的“勒索病毒”����,所以沒有導致更嚴重的生產系統(tǒng)數據加密的問題發(fā)生(包括生產資料��、邏輯文件���、SIS數據庫加強等)�����。
(2)病毒體分析
分別對mssecsvc.exe�、tasksche.exe和qeriuwjhrf病毒文件進行反匯編分析與測試��。得到以下結論:
mssecsvc.exe創(chuàng)建服務mssecsvc2.0����,釋放病毒文件tasksche.exe和qeriuwjhrf文件并啟動exe文件,mssecsvc2.0服務函數中執(zhí)行感染功能���,執(zhí)行完畢后等待24小時退出,啟動mssecsvc.exe�����,再循環(huán)向局域網的隨機ip發(fā)送SMB漏洞利用代碼���。
通過對其中的發(fā)送的SMB包進行分析�,此次病毒發(fā)行者正是利用了2016年盜用美國國家**局(NSA)自主設計的Windows系統(tǒng)黑客工具Eternalblue����。
經過對多方求證和數據重組分析得出,明確該病毒使用ms17-010漏洞進行了傳播,一旦某臺Windows系統(tǒng)主機中毒�����,相鄰的存在漏洞的網絡主機都會被其主動攻擊,整個網絡都可能被感染該蠕蟲病毒��,受害感染主機數量*終將呈幾何級的增長�����。其完整攻擊流程如下該病毒攻擊流程如下:
在反匯編過程中����,發(fā)現其主傳播文件mssecsvc.exe其中釋放出的tasksche.exe為破損文件,無法正常執(zhí)行病毒程序����,故此次病毒無法完成*關鍵動作�,無法加密文件以達到勒索的目的。因此在本次**事故中�,并未造成實質性�����、災害性的破壞的**事件��。
(3)事件調查
影響范圍:涉及生產大區(qū)、管理大區(qū)。
生產大區(qū)情況:攻擊除#1機組DCS���、NCS�����、電量之外的I����、II區(qū)幾乎所有的特定版本的Windows主機�,包括DCS、輔控�、各接口機、SIS��,由于各區(qū)域通過接口機感染��,導致各接口機隔離生產系統(tǒng)相互交叉感染��,導致病毒**大爆發(fā),現場確認**次主機攻擊2017年8月15日21:20左右進行����。
管理大區(qū)情況:目前在辦公區(qū)域員工電腦發(fā)現1臺主機感染“勒索病毒變種”,感染時間在2017年8月15日 23:11��,與病毒樣本為生產區(qū)同一版本�����,該主機未打補丁及病毒庫,發(fā)現多個木馬病毒感染的情況��;另外1臺為輸煤輔控監(jiān)控主機為2017年8月17日 14:57,同樣是未打補丁及未安裝病毒軟件����。
由于該“勒索病毒變種”感染自身行為特點����、生產大區(qū)與管理大區(qū)存在感染同一病毒的情況�����,分析原因如下:
a)直接攻擊原因分析2種:通過移動存儲介質感染和通過網絡感染(這種可能性比較高)�����,后者可能又分為2種情況:
感染病毒的主機與生產大區(qū)主機存在(臨時)網絡交叉,這種情況可能性比較低(只有已配置特定雙網卡情況下才會發(fā)生���,直連網絡不可達���,現場排查**的雙網卡是值長站辦公主機�����,但是與調度三區(qū)非同時連接)���。目前已排查重點區(qū)域:值長站辦公主機�、NCS相關主機�����,包括錄波���,也有感染非勒索病毒)����、輔控辦公主機(輸煤監(jiān)控有1臺感染勒索病毒)�;
感染病毒的電廠內部��、工控廠家運維筆記本�����,及生產區(qū)電腦在管理區(qū)維護后接入生產大區(qū)網絡�����,這種情況可能性比較高��。
b)可能性高攻擊路徑原因分析2種情況:外部人員運維筆記本同時/非同時接入生產大區(qū)與管理大區(qū)網絡并感染生產大區(qū)與管理大區(qū)主機,或內部人員運維筆記本及近期維護工控系統(tǒng)主機����。接入過管理大區(qū)辦公網的運維筆記本又接入生產大區(qū),或接入過管理大區(qū)辦公網的維護工控系統(tǒng)主機又接入生產大區(qū)����。
注:由于外網IPS許可過期且無日志記錄����,內網無入侵檢測設備�����,無法排除*早感染源�����。
(4)應急處理方式
a)切斷一切網絡連接�;
b)停止系統(tǒng)服務里的傳播服務mssecsvc2.0�����,及時刪除C:\Windows\mssecsvc.exe、C:\Windows\tasksche.exe和C:\Windows\qeriuwjhrf病毒源文件�;
以上動作在現場應急處理時采用自制程序手動完成;
c)根據不同系統(tǒng)版本分別安裝ms17-010**補丁程序����。
d)有效性測試
按該方法對受感染的計算機進行病毒查掃之后,通過試驗與測試發(fā)現����,使用抓包程序抓包�,并未發(fā)現有異常的網絡數據請求和流量產生,此現可以證明該方法有效可行�。
(5)**建議:
a)區(qū)域防護:各**I區(qū)的系統(tǒng)應該進行區(qū)域之間的加強訪問控制,應實現DCS機組之間�����、輔控等各區(qū)域之間邏輯隔離�����,防火墻應該支持端口級(目前I/II防火墻需要升級,不支持自定義端口)���,實施后可以限制在區(qū)域范圍內����。
b)網絡行為審計:部署管理大區(qū)及生產大區(qū)各部署入侵檢測系統(tǒng)(目前包括管理大區(qū)核心交換未部署IDS;互聯(lián)網邊界有部署IPS但已過期)�,實施后快速定位網絡攻擊爆發(fā)的源頭。
c)邊界**提升:加強管理區(qū)主機補丁升級����、防病毒統(tǒng)一管理(部署終端**軟件)���;生產區(qū)邊界非操作員站(如接口機)開啟本地防火墻策略���、補丁等即可以防護本次攻擊,也可以考慮**防護軟件���,實施后����,管理區(qū)可以避免感染����、快速定位主機爆發(fā)的源頭;生產區(qū)主機邊界如接口機有一定防護能力��;
d)移動運維管控:加強內部及外部人員的筆記本技術**管控����,采用網絡隔離設備防止網絡攻擊或專用工控運維筆記本接入。
e)主機**提升:
加強移動介質的管理��,通過設置BIOS����、注冊表參數禁用U盤或者采用安防系統(tǒng)隔離U盤,控制系統(tǒng)程序�、數據備份采用光盤形式��。
控制系統(tǒng)工控機禁止使用USB口或者拆除不必要的USB口�,防止移動設備等通過USB口接入網絡內。
檢查各控制系統(tǒng)正常運行時電腦需開啟的服務和端口���,關閉不必要的服務和端口。
定期對控制系統(tǒng)主機進行補丁升級等��。
